Red Hat Training

A Red Hat training course is available for RHEL 8

11.2.2.5.3. Asegurar los grupos de almacenamiento iSCSI con secretos de libvirt

Los parámetros de nombre de usuario y contraseña pueden configurarse con virsh para asegurar un pool de almacenamiento iSCSI. Puede configurar esto antes o después de definir el pool, pero el pool debe iniciarse para que la configuración de autenticación surta efecto.

A continuación se ofrecen instrucciones para asegurar los grupos de almacenamiento basados en iSCSI con libvirt secrets.

Nota

Este procedimiento es necesario si a user_ID y password se definieron al crear el objetivo iSCSI.

Procedimiento

  1. Cree un archivo secreto de libvirt con un nombre de usuario del protocolo de autenticación por desafío y apretón de manos (CHAP). Por ejemplo: 

    <secret ephemeral='no' private='yes'>
    <description>Passphrase for the iSCSI example.com server</description>
    <usage type='iscsi'>
        <target>iscsirhel7secret</target>
    </usage>
</secret>

  2. Defina el secreto de libvirt con el comando virsh secret-define.

    # virsh secret-define secret.xml

  3. Verifique el UUID con el comando virsh secret-list. 

    # virsh secret-list
UUID                                  Usage
-------------------------------------------------------------------
2d7891af-20be-4e5e-af83-190e8a922360  iscsi iscsirhel7secret

  4. Asigne un secreto al UUID en la salida del paso anterior utilizando el comando virsh secret-set-value. Esto asegura que el nombre de usuario y la contraseña de CHAP están en una lista de secretos controlada por libvirt. Por ejemplo: 

    # virsh secret-set-value --interactive 2d7891af-20be-4e5e-af83-190e8a922360
Enter new value for secret:
Secret value set

  5. Añade una entrada de autenticación en el archivo XML del pool de almacenamiento utilizando el comando virsh edit, y añade un elemento <auth> elemento, especificando authentication type, usernamey secret usage.

    Por ejemplo: 

    <pool type='iscsi'>
  <name>iscsirhel7pool</name>
    <source>
       <host name='192.168.122.1'/>
       <device path='iqn.2010-05.com.example.server1:iscsirhel7guest'/>
       <auth type='chap' username='redhat'>
          <secret usage='iscsirhel7secret'/>
       </auth>
    </source>
  <target>
    <path>/dev/disk/by-path</path>
  </target>
</pool>
    Nota

    El subelemento <auth> subelemento existe en diferentes ubicaciones dentro de la máquina virtual <pool> y <disk> Elementos XML. Para un <pool>, <auth> se especifica dentro del elemento <source> ya que describe dónde encontrar las fuentes de pool, ya que la autenticación es una propiedad de algunas fuentes de pool (iSCSI y RBD). Para a <disk>, que es un subelemento de un dominio, la autenticación en el disco iSCSI o RBD es una propiedad del disco. Además, el <auth> subelemento de un disco difiere del de un pool de almacenamiento. 

    <auth username='redhat'>
  <secret type='iscsi' usage='iscsirhel7secret'/>
</auth>

  6. Para activar los cambios, active el pool de almacenamiento. Si el pool ya se ha iniciado, detenga y reinicie el pool de almacenamiento: 

    # virsh pool-destroy iscsirhel7pool
# virsh pool-start iscsirhel7pool